AWS - EMR Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
El servicio Elastic MapReduce (EMR) de AWS, a partir de la versión 4.8.0, introdujo una configuración de seguridad que mejora la protección de datos al permitir a los usuarios especificar configuraciones de cifrado para datos en reposo y en tránsito dentro de los clústeres EMR, que son grupos escalables de instancias EC2 diseñadas para procesar marcos de big data como Apache Hadoop y Spark.
Las características clave incluyen:
Cifrado de Clúster por Defecto: Por defecto, los datos en reposo dentro de un clúster no están cifrados. Sin embargo, habilitar el cifrado proporciona acceso a varias características:
Configuración Unificada de Clave de Linux: Cifra los volúmenes de clúster EBS. Los usuarios pueden optar por el Servicio de Gestión de Claves de AWS (KMS) o un proveedor de claves personalizado.
Cifrado HDFS de Código Abierto: Ofrece dos opciones de cifrado para Hadoop:
RPC de Hadoop Seguro (Remote Procedure Call), configurado para privacidad, aprovechando la Capa de Seguridad de Autenticación Simple.
Cifrado de transferencia de bloques HDFS, configurado como verdadero, utiliza el algoritmo AES-256.
Cifrado en Tránsito: Se centra en asegurar los datos durante la transferencia. Las opciones incluyen:
Capa de Seguridad de Transporte (TLS) de Código Abierto: El cifrado se puede habilitar eligiendo un proveedor de certificados:
PEM: Requiere la creación manual y agrupación de certificados PEM en un archivo zip, referenciado desde un bucket S3.
Personalizado: Implica agregar una clase Java personalizada como proveedor de certificados que suministra artefactos de cifrado.
Una vez que se integra un proveedor de certificados TLS en la configuración de seguridad, se pueden activar las siguientes características de cifrado específicas de la aplicación, variando según la versión de EMR:
Hadoop:
Puede reducir el shuffle cifrado usando TLS.
RPC de Hadoop Seguro con Capa de Seguridad de Autenticación Simple y Transferencia de Bloques HDFS con AES-256 se activan con cifrado en reposo.
Presto (versión EMR 5.6.0+):
La comunicación interna entre nodos de Presto está asegurada usando SSL y TLS.
Tez Shuffle Handler:
Utiliza TLS para cifrado.
Spark:
Emplea TLS para el protocolo Akka.
Usa Capa de Seguridad de Autenticación Simple y 3DES para el Servicio de Transferencia de Bloques.
El servicio de shuffle externo está asegurado con la Capa de Seguridad de Autenticación Simple.
Estas características mejoran colectivamente la postura de seguridad de los clústeres EMR, especialmente en lo que respecta a la protección de datos durante las fases de almacenamiento y transmisión.
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)